請關注本頭條號,每天堅持更新原創乾貨技術文章。
如需學習視頻,請在微信搜索公眾號「智傳網優」直接開始自助視頻學習
1. 前言
本文主要是講解與演示如何在Linux上配置vsftp 虛擬多用戶。虛擬用戶不能是系統用戶,也不可能用於登錄系統,只能用於ftp用戶驗證,所以對作業系統本身並無安全威脅問題。
2. 安裝vsftpd
[root@zcwyou ~]# yum -y install vsftpd
安裝vsftpd
3. 設置與vsftp相關的SElinux策略
設置ftp用戶擁有所有權限
[root@zcwyou ~]# setsebool -P allow_ftpd_full_access=1
[root@zcwyou ~]# setsebool -P allow_ftpd_anon_write=1
4. 設置防火牆
4.1 CentOS 6防火牆設置
允許20、21埠通過防火牆
[root@zcwyou ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
設置ftp被動模式的埠範圍
[root@zcwyou ~]# iptables -A INPUT -p tcp --dport 9000:9045 -j ACCEPT
保存防火牆配置:
[root@zcwyou ~]# service iptables save
4.2 CentOS 7防火牆設置
[root@zcwyou ~]# firewall-cmd --add-service=ftp
[root@zcwyou ~]# firewall-cmd --add-service=ftp --permanent
4.3 CentOS 6 設置開機自啟動服務
[root@zcwyou ~]# chkconfig vsftpd on
4.4 CentOS 7 設置開機自啟動服務
[root@zcwyou ~]# systemctl enable vsftpd
Created symlink from /etc/systemd/system/multi-user.target.wants/vsftpd.service to /usr/lib/systemd/system/vsftpd.service.
5. 配置vsftp虛擬用戶
所謂虛擬用戶就是沒有使用真實的帳戶,只是通過映射到真實帳戶和設置權限的目的。虛擬用戶不能登錄CentOS系統。
修改配置文件
[root@zcwyou ~]# vi /etc/vsftpd/vsftpd.conf
配置vsftp虛擬用戶
配置以下內容:
設定不允許匿名訪問,即使用帳號密碼登錄
anonymous_enable=NO
設定本地用戶可以訪問。註:如使用虛擬宿主用戶,在該項目設定為NO的情況下所有虛擬用戶將無法訪問
local_enable=YES
write_enable=YES
允許匿名用戶和虛擬用戶寫文件和目錄
anon_upload_enable=YES
anon_mkdir_write_enable=YES
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
指定PAM認證文件名
pam_service_name=vsftpd
以下這些是關於vsftpd虛擬用戶支持的重要配置項,默認vsftpd.conf中不包含這些設定項目,需要自己手動添加
設定啟用虛擬用戶功能
userlist_enable=YES
guest_enable=YES
指定虛擬用戶的宿主用戶,CentOS中已經有內置的ftp用戶了
guest_username=ftp
設定虛擬用戶個人vsftp的CentOS FTP服務文件存放路徑。
user_config_dir=/etc/vsftpd/vuser_conf
創建chroot用戶名單:
[root@zcwyou ~]# vi /etc/vsftpd/chroot_list
把虛擬用戶寫入這個文件,一行一個用戶
test
6. 安裝Berkeley DB工具
安裝db4和db4-utils工具需要先安裝epel倉庫。用於建立用戶資料庫信息
[root@zcwyou ~]# yum install epel-release -y
[root@zcwyou ~]# yum install db4 db4-utils -y
安裝Berkeley DB工具
7. 創建用戶密碼文本
創建文件/etc/vsftpd/vuser_passwd.txt ,注意奇行是用戶名,偶行是密碼
[root@zcwyou ~]# vi /etc/vsftpd/vuser_passwd.txt
例如,建立test帳號,密碼為123456,輸入以下內容
test
123456
8. 生成虛擬用戶認證的資料庫文件
[root@zcwyou ~]# db_load -T -t hash -f /etc/vsftpd/vuser_passwd.txt /etc/vsftpd/vuser_passwd.db
9. 修改pam認證參數
隨後,編輯認證文件/etc/pam.d/vsftpd,全部注釋掉原來語句,再增加以下兩句:
[root@zcwyou ~]# vi /etc/pam.d/vsftpd
不需要添加db後綴名
auth required pam_userdb.so db=/etc/vsftpd/vuser_passwd
account required pam_userdb.so db=/etc/vsftpd/vuser_passwd
10. 創建虛擬用戶配置文件
最後,創建虛擬用戶配置文件,文件名等於vuser_passwd.txt裡面的帳戶名,否則下面設置無效
[root@zcwyou ~]# mkdir /etc/vsftpd/vuser_conf/
[root@zcwyou ~]# vi /etc/vsftpd/vuser_conf/test
內容如下:
虛擬用戶根目錄,根據實際情況修改
local_root=/data/ftp/test
可寫權限及文件掩碼
write_enable=YES
anon_umask=022
anon_world_readable_only=NO
anon_upload_enable=YES
anon_mkdir_write_enable=YES
anon_other_write_enable=NO
創建test用戶根目錄及設置權限
[root@zcwyou ~]# mkdir -p /data/ftp/test/test_data
[root@zcwyou ~]# chmod -R 755 /data/
[root@zcwyou ~]# chmod 555 /data/ftp/test/
[root@zcwyou ~]# chown -R ftp:ftp /data/
最新的vsftpd要求對主目錄不能有寫的權限所以data為755,主目錄下面的子目錄再設置755權限或者你想要的權限。這樣,test用戶就可以對/data/ftp/test/test_data這個目錄進行讀寫操作了。
11. 配置vsftp PASV模式(可選)
vsftpd默認沒有開啟PASV模式,現在FTP只能通過PORT模式連接,要開啟PASV默認需要通過下面的配置
打開/etc/vsftpd/vsftpd.conf,在末尾添加
[root@zcwyou ~]# vi /etc/vsftpd/vsftpd.conf
開啟PASV模式
pasv_enable=YES
最小埠號
pasv_min_port=40000
最大埠號
pasv_max_port=40080
pasv_promiscuous=YES
配置vsftp PASV模式
在防火牆配置內開啟40000到40080埠
CentOS 6防火牆設置:
[root@zcwyou ~]# iptables -A INPUT -p tcp --dport 4000:40080 -j ACCEPT
CentOS 6重啟防火牆:
[root@zcwyou ~]# service iptables save
[root@zcwyou ~]# service iptables restart
CentOS 7防火牆設置:
[root@zcwyou ~]# firewall-cmd --add-service=ftp
[root@zcwyou ~]# firewall-cmd --add-service=ftp --permanent
CentOS 6重啟vsftpd:
[root@zcwyou ~]# service vsftpd restart
CentOS 7重啟vsftpd:
[root@zcwyou ~]# systemctl restart vsftpd
12. 總結
vsftp是一個使用率非常高的服務,運維人員必須要熟悉配置和使用。
本文已同步至博客站,尊重原創,轉載時請在正文中附帶以下連結:
https://www.linuxrumen.com/rmxx/757.html
點擊了解更多,快速查看更多的技術文章列表。